256 aplicaciones con un millón de descargas estimadas han sido retiradas de la App Store al conocerse que extraían información que identificaba al usuario.
Avisó de la incidencia SourceDNA, una prestigiosa empresa de seguridad informática enfocada a aplicaciones móviles con Google o Facebook como clientes.
Las aplicaciones eliminadas extraían información sobre la identidad de los usuarios, incluyendo en correo electrónico asociado al Apple ID, su dispositivo, el número de serie de algunas partes de terminal y las aplicaciones instaladas en su teléfono.
Todas las aplicaciones habían sido desarrolladas gracias al SDK de la empresa de publicidad china, Youmi, que accedía a esta información a través de APIs privadas, como indica el informe.
Casi todos los desarrolladores que lo han usado son chinos, de momento parece que es un incidente "aislado". El problema es que esta actividad ha estado teniendo lugar durante un tiempo y pone en entredicho el proceso de revisión de la App Store. Ha sido un tercero quien ha avisado a Apple. Hace un mes ocurrió algo parecido, SDK de terceros y App Store china.
Según el informe, Youmi ha estado experimentado en sus técnicas del mal desde hace años. Indagando qué información podría obtener de sus usuarios sin que Apple lo detectase en el proceso de revisión. Hace dos años lograron ofuscar una llamada para obtener el nombre de la aplicación que se estaba ejecutando. Era un pequeño test para ver hasta donde podrían llegar con el engaño y el robo de información posterior. Cuando descubrieron que su código malicioso pasaba el proceso se atrevieron a obtener más y más información mediante código ofuscado.
El ingenio de Youmi para extraer información de los usuarios no tenía límite.
Apple bloquea todas las API privadas para evitar que las aplicaciones puedan leer el número de serie en iOS 8. Youmi lo que hacía era leer identificadores de las piezas de hardware como batería. Luego enviaban el código para identificar el hardware completo en el que se usaba esa batería en concreto.
SourceDNA cree que ningún desarrollador tenía conocimiento de esto, ya que el SDK se descarga en su forma binaria y con el código ofuscado. Decompilarlo, pasar de bytes a código, y leerlo no es tarea fácil. Además la información era subida a los servidores de Youmi.
De un caso aislado se ha destapado un posible problema mayor. Según SourceDNA la ofuscación empleada era bastante simple y las aplicaciones han usado ese SDK malicioso durante mucho tiempo. Un año y medio según Nate Lawson, fundador de SourceDNA.
"Nos preocupa que haya otras aplicaciones publicas que estén usando métodos parecidos para esconder sus malas artes," indican en su blog.
El informe se envió primero a Apple y estos eliminaron las aplicaciones de inmediato respondiendo a SourceDNA indicando sus acciones y cómo ayudará a los desarrolladores que estaban usando un SDK malicioso — probablemente sin su conocimiento — para actualizar sus aplicaciones a las guías y criterios que impone Apple y así volver a la App Store.
Ya van dos veces que se descubren SDK que no vienen directamente de Apple y que contienen llamadas maliciosas con el único propósito de obtener información confidencial de los usuarios.
Continúar leyendo...